본문 바로가기

악성코드 정보1153

WSF 파일 형태로 유포되는 APT 공격 주의 지난 1월18일 안랩은 고객사로부터 APT 공격 형태와 유사한 WSF(Windows Script File) 악성코드를 접수받았다. WSF(Windows Script File)파일은 윈도우에서 실행되는 스크립트 파일의 확장자로 사용되며 자바스크립트, VB 스크립트 등 다양한 언어를 지원한다. 출처가 불분명한 수신 메일에 WSF 확장자, JS 확장자 등 스크립트 파일이 첨부되어 있다면, APT 악성코드 이외에도 랜섬웨어 등 다양한 악성코드에 노출될 수 있으므로 사용자의 각별한 주의가 필요하다. 첨부된 WSF 악성코드 파일의 전체적인 APT 동작 과정은 [그림 1]과 같다. [그림 1] 악성코드의 전체적인 동작 과정 첨부된 WSF 파일을 실행하면 사용자에게 정상 한글 문서를 화면에 보여주고, 백그라운드에서는 .. 2018. 1. 23.
웹 브라우저를 통해 마이닝 동작하는 악성코드 암호화폐 시장이 달아오름과 동시에 채굴 방식 또한 점차 다양해지고 있다. PC에 악성 채굴기 실행파일을 몰래 설치하는 악성코드뿐만 아니라, 웹 브라우저를 기반으로 하여 암호화폐를 채굴하는 방식이 2017년부터 폭증하고 있다. 웹 브라우저 기반으로 동작하는 마이닝 방식은 기존의 실행 파일 기반과는 다르게 악성 자바스크립트(JavaScript)를 이용해 동작한다. 자바스크립트는 추가로 악성 자바(JAVA) 파일 또는 웹어셈블리(WebAssembly) 파일을 로드할 수 있으며, 해당 웹 페이지에 접속했을 때 접속자는 개인 하드웨어 자원을 이용하여 채굴을 하게 되고 그 결과는 공격자의 지갑 주소에 전송된다. 파일 기반의 악성코드는 최종 페이로드를 사용자 시스템에 전달하기 위해 파일 다운로드 후 실행하기까지 과정.. 2018. 1. 17.
랜섬웨어에서 비트코인 실행으로 변경된 LNK(바로가기)파일 주의 2017년 12월 중순부터 Venuslocker에서 사용된 LNK(바로가기) 파일이 다시 비트코인 마이너와 함께 유포되고있어 사용자의 주의가 필요하다. 과거 Venuslocker에 사용된 LNK(바로가기) 파일은 국내에 ‘비너스 라커’로 알려진 랜섬웨어를 실행시키는 파일로 2017년 2월에 활발하게 유포되었다. 현재는 랜섬웨어가 아닌 Monero (XMR) 비트코인 마이너를 실행시키는 파일로 변경되었다.[좌] 기존 Venuslocker - Ransom 파일명 : 이력서.jpg.lnk [우] 현재 Venuslocker – Bitcoin 파일명 : 1`원본이미지_180106.jpg.lnk과거 Venuslocker에 이용된 LNK(바로가기) 파일과 동일하다고 판단한 이유는 파일에 남아있는 Venuslocker.. 2018. 1. 12.
Petya와 유사한 Diskcoder(혹은 Bad Rabbit) 랜섬웨어 Petya와 유사한 Diskcoder (혹은 Bad Rabbit) 랜섬웨어가 10월25일 최초 동유럽에서 보고 되었다. 유포 방식은 DBD (Drive By Download) 로 추정 되며 가장 상위의 드롭퍼는 Adobe Flash Player 설치파일로 위장 되었다. [그림 1] - 구조 흐름도 드로퍼는 주요 악성기능을 수행하는 DLL 파일을 드롭 한 후 Rundll32.exe 이용하여 실행한다. 아래 표와 같이 인자 값이 주어지는데 해당 인자 ‘15’는 추후 악성코드가 재부팅 명령을 수행할 때 시간 조건으로 사용한다. 자세한 내용은 아래에 언급된다. 생성 경로 및 파일명 C:\windows\infpub.dat 실행 명령 C:\windows\system32\rundll32.exe C:\windows\i.. 2017. 10. 27.
ISO파일 첨부 악성코드 유포 주의 안티바이러스 제품의 진단을 우회하기 위해 이메일에 첨부한 악성코드의 포맷을 실행파일에서 압축(zip)포맷으로 악성코드를 유포하던 제작자들이 파일 포맷을 ZIP에서 ISO 포맷으로 변경한 것을 확인하였다. [그림-1] ISO 파일 포맷으로 악성코드를 유포하는 이메일 ISO파일은 국제 표준화 기구에서 제정한 CD-ROM 매체를 위한 파일 시스템으로 디렉터리로 파일을 관리 한다. 해당 구조는 표준화가 되어있어 운영 체제가 이에 대응하고 있으면 CD-ROM으로 인식하여 읽어낼 수 있다. ZIP 포맷에서 ISO 포맷으로 변경된 배경은 Windows8 이전 버전에서는 별도의 프로그램이 설치되어있어야 CD-ROM으로 인식 후 실행 가능하였지만, Windows8 마일스톤 버전에서 추가된 기능에 의해 자동으로 ISO 이.. 2017. 10. 19.
10년 가까이 군 정보 노리고 있는 오퍼레이션 비터 비스킷 오퍼레이션 비터 비스킷(Operation Bitter Biscuit)에 이용된 비소날류 악성코드는 2010년 최초 발견된 후 현재까지 한국, 일본, 인도에 대한 공격이 확인되었으며, 디코이(decoy) 파일을 통해 러시아권 사용자에게도 추가 공격을 가한 것으로 보인다. 일본의 경우 2012년 방위산업체에 대한 공격이 있었으며, 인도 CERT에서는 2015년 비소날 악성코드의 변형인 바이오아지흐(Bioazih)에 대해 경고한 바 있다. 하지만 최근에는 한국을 제외한 나머지 국가에서는 관련 공격이 확인되지 않았다. 한국에서는 2011년부터 군사 기관, 방위산업체, IT 업체 등 국내 주요 기관을 대상으로 한 지속적인 공격이 계속되고 있다. 2011년부터 2012년 사이에는 주로 국내 기관에 대한 공격이 집중.. 2017. 10. 16.
이모텟 악성코드가 다운로드하는 추가 모듈 분석 (네트워크 전파 모듈) 지난 2017년 8월 20일 안랩은 클라우드 기반의 악성코드 위협 분석 및 대응 시스템인 ASD(AhnLab Smart Defense)를 통해 이모텟(Emotet) 악성코드가 스팸 봇넷을 통해 유포되고 있음을 확인하였다. 이모텟 악성코드는 미국, 영국, 캐나다와 같이 해외에서 주로 발견되는 금융 정보 탈취형 악성코드이다. 이모텟은 악성 매크로가 포함된 워드문서가 첨부된 스팸 메일(MalSPAM)을 통해 유포되며, 유포되는 이모텟 악성코드의 주요 기능은 컴퓨터 호스트 이름 정보, 실행 중인 프로세스 리스트 등 사용자 정보를 유출하는 기능과 C&C 서버로부터 추가 악성 모듈을 다운로드하여 실행시키는 악성코드 로더의 역할을 수행한다. 분석 당시 C&C 서버가 차단되어 있어 추가 악성 모듈을 확보하기 어려운 상.. 2017. 9. 29.
이미지 형태의 인코딩 데이터를 포함하는 악성파일 (2) 지난 포스팅에 이어, 이번에는 또 다른 유형의 '랜덤픽셀 이미지' 를 포함하는 악성코드를 소개한다. [유형-1] 리소스 섹션에 비트맵 이미지 형태의 인코딩 된 데이터를 포함하는 악성코드 [2] VisualBasic 의 Form 내부에 비트맵 이미지 형태의 인코딩 된 데이터를 포함하는 악성코드두 번째로 살펴볼 유형의 악성코드는 VisualBasic으로 컴파일 된 파일의 특징을 갖는다. [그림 7]과 같이 [유형-2] 의 샘플들은 총 3개의 섹션을 포함하는데, [유형-1] 과는 다르게 랜덤픽셀 이미지가 리소스(.rsrc) 섹션이 아닌 텍스트(.text) 섹션에 존재한다. 이러한 차이가 발생하는 이유는 VisualBasic 컴파일러의 특징 때문인데, VisualBasic 파일들은 고유한 내부 구조를 유지하기 .. 2017. 9. 29.